Cette page décrit plusieurs exemples courants d'utilisation des restrictions sur les organisations.
Limiter l'accès à votre organisation uniquement
Dans cet exemple, l'administrateur Google Cloud et l'administrateur du proxy de sortie de l'organisation A s'engagent à limiter l'accès des employés aux seules ressources de leur organisationGoogle Cloud .
Pour limiter l'accès à votre organisation uniquement, procédez comme suit:
En tant qu' Google Cloud administrateur, pour obtenir l' Google Cloud ID de l'organisation A, utilisez la commande
gcloud organizations list:gcloud organizations listVoici un exemple de résultat:
DISPLAY_NAME: Organization A ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4En tant qu'administrateur de proxy de sortie, après avoir obtenu l'ID de l'organisation auprès de l'administrateur Google Cloud, composez la représentation JSON de la valeur d'en-tête au format suivant:
{ "resources": ["organizations/123456789"], "options": "strict" }En tant qu'administrateur de proxy de sortie, encodez la valeur de l'en-tête de la requête en suivant les spécifications de la section 5 de la RFC 4648.
Par exemple, si la représentation JSON de la valeur d'en-tête est stockée dans le fichier
authorized_orgs.json, pour encoder le fichier, exécutez la commande basenc suivante:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQoEn tant qu'administrateur de proxy de sortie, configurez le proxy de sortie de sorte que l'en-tête de requête suivant soit inséré dans toutes les requêtes provenant des appareils gérés de l'organisation A:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
Limiter l'accès à votre organisation et autoriser les requêtes de lecture sur les ressources Cloud Storage
Dans cet exemple, l' Google Cloud administrateur et l'administrateur du proxy de sortie de l'organisation A s'engagent à limiter l'accès des employés aux seules ressources de leurGoogle Cloud organisation, à l'exception des requêtes de lecture des ressources Cloud Storage.
Les administrateurs peuvent choisir d'exclure les requêtes de lecture des ressources Cloud Storage de l'application des restrictions de l'organisation pour s'assurer que leurs employés peuvent accéder aux sites Web externes qui utilisent Cloud Storage pour héberger du contenu statique. L'administrateur utilise l'option cloudStorageReadAllowed pour autoriser les requêtes de lecture sur les ressources Cloud Storage.
Pour limiter l'accès à votre organisation uniquement et autoriser les requêtes de lecture aux ressources Cloud Storage, procédez comme suit:
En tant qu' Google Cloud administrateur, pour obtenir l' Google Cloud ID de l'organisation A, utilisez la commande
gcloud organizations list:gcloud organizations listVoici un exemple de résultat:
DISPLAY_NAME: Organization A ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4En tant qu'administrateur de proxy de sortie, après avoir obtenu l'ID de l'organisation auprès de l'administrateur Google Cloud, composez la représentation JSON de la valeur d'en-tête au format suivant:
{ "resources": ["organizations/123456789"], "options": "cloudStorageReadAllowed" }En tant qu'administrateur de proxy de sortie, encodez la valeur de l'en-tête de la requête en suivant les spécifications de la section 5 de la RFC 4648.
Par exemple, si la représentation JSON de la valeur d'en-tête est stockée dans le fichier
authorized_orgs.json, pour encoder le fichier, exécutez la commande basenc suivante:$ cat authorized_orgs.json | basenc --base64url -w0 ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=lEn tant qu'administrateur de proxy de sortie, configurez le proxy de sortie de sorte que l'en-tête de requête suivant soit inséré dans toutes les requêtes provenant des appareils gérés de l'organisation A:
X-Goog-Allowed-Resources: ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=lLes employés de l'organisation A ont désormais accès à leur Google Cloud organisation et à un accès en lecture aux ressources Cloud Storage.
Autoriser les employés à accéder à une organisation Google Cloud de fournisseur
Dans cet exemple, l'administrateur Google Cloud et l'administrateur du proxy de sortie de l'organisation B collaborent pour permettre aux employés d'accéder à une organisation Google Cloud de fournisseur en plus de leur organisation Google Cloud existante.
Pour limiter l'accès des employés à votre organisation et à celle du fournisseur uniquement, procédez comme suit:
En tant qu' Google Cloud administrateur, contactez le fournisseur pour obtenir l' Google CloudID de l'organisation du fournisseur.
En tant qu'administrateur de proxy de sortie, pour inclure l'ID de l'organisation du fournisseur en plus de l'ID de l'organisation existant, vous devez mettre à jour la représentation JSON de la valeur de l'en-tête. Une fois que vous avez obtenu l'ID de l'organisation du fournisseur auprès de l'administrateur Google Cloud, mettez à jour la valeur de l'en-tête au format suivant:
{ "resources": ["organizations/1234", "organizations/3456"], "options": "strict" }En tant qu'administrateur de proxy de sortie, encodez la valeur de l'en-tête de la requête en suivant les spécifications de la section 5 de la RFC 4648.
Par exemple, si la représentation JSON de la valeur d'en-tête est stockée dans le fichier
authorized_orgs.json, pour encoder le fichier, exécutez la commande basenc suivante:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0KEn tant qu'administrateur de proxy de sortie, configurez le proxy de sortie de sorte que l'en-tête de requête suivant soit inséré dans toutes les requêtes provenant des appareils gérés de l'organisation B:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0KLes employés de l'organisation B ont désormais accès au fournisseur et à leurs Google Cloud organisations.
Limiter l'accès aux importations uniquement
Dans cet exemple, l'administrateur Google Cloud et l'administrateur du proxy de sortie de l'organisation C s'associent pour limiter l'accès des employés à l'importation aux seules ressources de l'organisationGoogle Cloud .
Pour limiter l'accès à l'importation à votre organisation uniquement, procédez comme suit:
En tant qu' Google Cloud administrateur, pour obtenir l' Google Cloud ID de l'organisation C, utilisez la commande
gcloud organizations list:gcloud organizations listVoici un exemple de résultat:
DISPLAY_NAME: Organization C ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4En tant qu'administrateur de proxy de sortie, après avoir obtenu l'ID de l'organisation auprès de l'administrateur Google Cloud, composez la représentation JSON de la valeur d'en-tête au format suivant:
{ "resources": ["organizations/123456789"], "options": "strict" }En tant qu'administrateur de proxy de sortie, encodez la valeur de l'en-tête de la requête en suivant les spécifications de la section 5 de la RFC 4648.
Par exemple, si la représentation JSON de la valeur d'en-tête est stockée dans le fichier
authorized_orgs.json, pour encoder le fichier, exécutez la commande basenc suivante:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQoEn tant qu'administrateur de proxy de sortie, configurez le proxy de sortie de sorte que l'en-tête de requête suivant ne soit inséré que pour les requêtes avec les méthodes PUT, POST et PATCH provenant des appareils gérés de l'organisation C:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
Étape suivante
- Découvrez les services compatibles avec les restrictions d'organisation.